حمله ارتش بات نت ها به وردپرس
به گزارش کارگروه حملات سایبری سایبربان، به نقل «hackread»؛ تحقیق جدید منتشر شده ای از «Defiant»، شرکت امنیتی فعال در حوزه وردپرس، آشکار کرد که بات نت ها، سایت های وردپرس را از طریق 20 هزار سایت وردپرس آلوده شده، هک می کنند. هنگامی که سایت های جدید آلوده می شوند، به طور خودکار عضوی از ارتش بات نت ها شده و در راستای خواسته ی هکر، به منظور انجام کارهایی مانند ورود سیستم از طریق بروت فورس (brute-force) به سایت های جدید وردپرس حمله می کنند.
شرکت یاده شده ادعا می کند که بین فهرست سیاه آی پی و ماژول محافظت در برابر حملات بروت فورس «Wordfence»، بیش از 5 میلیون درخواست احراز هویت از سوی مهاجمان، توسط این شرکت، مسدود شده است. این یک کمپین در مقیاس بزرگ است که در آن، وب سایت های آلوده، حملات لغت نامه ای (dictionary attack) را روی سایت های جدید و آلوده نشده اجرا می کنند. با استفاده از این روش، بات ها می توانند بدون محدودیت، ترکیب های مختلف نام کاربری و رمز عبور را تا زمانی که کد واقعی شناسایی شده و آن ها موفق به ورود به یک سایت وردپرس شوند، امتحان کنند.
مایکی وینسترا (Mikey Veenstra) از شرکت Defiant، بینش بیشتری را از این کمپین، ارائه می دهد. با توجه به گفته های وینسترا، بات نت ها توسط سرورهای فرماندهی و کنترل (C&C) اجرا شده و سایت آلوده را پیدا و دیگر سایت ها را آلوده می کنند.
بیش از 14 هزار سرور پراکسی برای انتقال اطلاعات در سراسر سرورها، گسترش یافته اند و فهرستی از اهداف وردپرس نیز شناسایی شده است که در آینده، بات نت ها به آن ها حمله خواهند کرد.
در ادامه، وینسترا ذکر کرد:
برای مثال اگر اسکریپت بروت فورس در حال تلاش برای ورود حساب کاربری آلیس در سامانه ای فرضی باشد، این اسکریپت، رمزهایی چون آلیس1، آلیس 2018 و غیره ایجاد می کند. در حالیکه که این شیوه بعید است که در یک سایت خاص موفق شود؛ اما هنگامی که در مقیاس وسیع و در تعداد زیاد اهداف مورد استفاده قرار گیرد، بسیار موثر است.
وی افزود:
ما همچنین به این نکته اشاره کردیم که رشته های یوزر ایجنت (User-Agent) مربوط به این درخواست ها مطابق با آن هایی هستند که توسط برنامه های کاربردی مورد استفاده قرار گرفته و عموما دیده شده با واسط «XML-RPC» تعامل می کنند. مانند «wp-iphone» و «wp-android».
اساسا حمله های بروت فورس، اجرای XML-RPC وردپرس را هدف قرار داده تا ترکیبی از رمزها و نام های کاربری برای یک وب سایت را استخراج کرده و سپس به دنبال حساب های معتبر می گردند.
پروتکل XML-RPC نقطه ی پایانی است که واقع در دایرکتوری ریشه در فایل «xmlrpc.php» قرار دارند. این پروتکل توسط کاربران خارجی به منظور ارسال محتوا روی یک سایت وردپرس از راه دور با استفاده از رابط برنامه نویس کاربردی (API) آن، به کار گرفته می شود.
مشکل «XML-RPC» این است که در اجرای پیش فرض خود، محدودیتی بر تعداد درخواست های رابط کاربردی که به سوی آن فرستاده می شود، اعمال نمی کند؛ بنابراین، یک هکر می تواند در طول روز تلاش کند تا با ترکیب های مختلف از نام کاربری و رمزعبور، وارد وب سایت شود. هیچ کس هشداری دریافت نخواهد کرد، مگر اینکه ثبت ها به صورت دستی، چک شوند.
گزارش شده است که 4 سرور فرماندهی و کنترل توسط مهاجمان برای ارسال فرمان ها به گروه بات نت های وورد پرس، به کار گرفته شده اند. سرورهای پروکسی در خدمات «Best-Proxies.ru» در روسیه واقع شده است.
با این حال، شرکت امنیتی Defiant ادعا می کند که بات نت ها ساختار پیچیده ای ندارند؛ از این رو، عاری از خطا نیستند. مححققان امنیتی، زیرساخت هایی را که از این حملات پشتیبانی می کنند و همچنین نقاط ضعف موجود در سامانه های تشخیص هویت را شناسایی کرده اند. آنها ذکر کردند امکان محافظت از وب سایت ها در برابر بات نت های وورد پرس، وجود دارد.
امر حفاظت از وب سایت های وورد پرس، شامل مواردی بیش از نصب پلاگین های امنیتی است. باید یک راهبرد کامل ابداع شود. حتی نکات بسیار ریز و دقیق نیز باید در نظر گرفته شود. بهترین راه حل ممکن، نصب یک پلاگین امنیتی است که از حملات بروت فورس و لغت نامه ای، جلوگیری می کند؛ زیرا سرویس های «XML-RPC» نمی توانند پلاگین های امنیتی را دور بزنند؛ حتی اگر تلاش های مکرری برای ورود به وب سایت شما صورت گیرد.
